Sonatype 报告:Q1 共发现了近 18000 个恶意开源软件


专注于软件供应链安全的公司 Sonatype 公布了 2025 年第一季度的开源恶意软件指数报告指出,1 月 1 日至 3 月 31 日共发现了 17,954 个开源恶意软件;其中包括几个被劫持的 npm 加密包、一个伪装成 Truffle for VS Code 扩展的恶意 npm 包,以及假冒的 Solana 包。

相较上一季度发现的 34,000 多个恶意软件包相比大幅下降,主要原因在于安全持有软件包数量明显减少。与去年同期相比,2025 年第一季度的恶意软件总数增加了一倍多。

2025 年第一季度发现的恶意软件中,超过一半 (56%) 与数据泄露有关;与 2024 年第四季度的 26% 相比大幅增加,表明敏感信息通过开源组件泄露的风险日益增加。加密挖矿恶意软件占 2025 年第一季度发现的恶意软件包的 7%,高于 2024 年第四季度的 3.5%,表明资源劫持攻击在开源生态系统中仍然盛行。

Sonatype 认为,“从被劫持的加密包到带有间谍软件的虚假开发工具,2025 年第一季度清楚地表明,开源恶意软件威胁在规模和复杂程度上都在增长。威胁行为者继续以开源生态系统为目标,发起旨在窃取凭证、窃取敏感数据并在开发者环境中建立持久访问权限的活动。”


相關推薦

2023-10-07

Sonatype 发布了最新的一份《软件供应链状况》报告,深入探讨了如何在充满选择的世界中定义更好的软件,并探讨人工智能 (AI) 对软件开发的深远影响;还研究了开源供应、需求和安全之间错综复杂的相互作用。 报告跟踪

2023-01-03

近日,AV-TEST 联合旗下的威胁情报平台 AV-ATLAS 发布了一份报告,让用户可以了解到 2022 年恶意软件和互联网安全的整体状况。 首先根据他们发布的推文,我们可以了解到这几大操作系统目前的恶意软件数量: 2022 年新的恶

2023-02-25

源安全和风险分析 (Open Source Security and Risk Analysis,OSSRA) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。 2023 OSSRA 报告基于对并购交易中涉及的代码库的审计分析,共涉及 17 个行业。审计

2022-11-27

perators 每天仔细检查所有上传;因此,许多恶意图像未被报告。Sysdig 还注意到,大多数威胁行为者只上传了一些恶意 images,因此即使删除了有风险的 images 并禁止了上传者,也不会对平台的威胁态势产生重大影响。 更多详情可

2022-11-03

网安全公司 SonicWall 最新发布了一份 2022 年网络威胁报告,基于 215 个国家和地区的超过一百万个全球传感器收集的数据,探讨了安全专业人员需要关注的一些危险的趋势。报告指出: 2022 年上半年记录了 28 亿次恶意

2022-08-09

NPM、Python 仓库监测的恶意组件数量如下所示。 本周新发现 131 个不同版本的恶意组件,其中 71%的投毒组件为:获取主机敏感信息(获取了主机的用户名、IP 等敏感信息) 25%的投毒组件为:获取 discord 用户敏感信

2022-01-19

网设备提供支持。安全公司 CrowdStrike 在最新发布的一份报告中指出,针对通常部署在物联网 (IoT) 设备中的基于 Linux 的操作系统的恶意软件在 2021 年比 2020 年增加了 35%,前三大恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意

2021-12-21

踪了正在进行的缓解受影响软件包的工作。 研究人员发现,截至 2021 年 12 月 16 日,来自 Maven Central 的 35,863 个可用软件包依赖于存在漏洞的 log4j 代码。这意味着 Maven Central 上超过 8% 的软件包至少有一个版本受漏洞影响(此

2024-06-23

NCC Group 最新发布的一份威胁情报报告发现,5 月份全球勒索软件攻击环比增长 32%(从 356 起增至 470 起),同比增长 8%(从 435 起增至 470 起),均创历史新高。 臭名昭著的 Lockbit 勒索软件团伙则是此次激增的罪魁祸首。该组织

2022-03-31

JFrog 研究人员 Andrey Polkovnychenko 和 Shachar Menashe 在一份报告中,截至 3 月 21 日他们已观察到不少于 218 个恶意 NPM 包。检查后发现这都是针对 Azure 开发人员的新的大规模供应链攻击,攻击者采用了一个自动脚本来创建账户并上传

2023-04-24

FreeBSD 公布了 2023 年第一季度报告,介绍了从 2023 年 1 月到 3 月的主要工作内容和项目进展。 报告首先总结了去年的财务状况:2022 年总共筹集了 1231096 美元,但并未完成 130 万美元的筹款目标。今年的财务预算约为 223 万美元

2024-07-30

个直接当事方——微软和 CrowdStrike 均已发布了相关技术报告。 7 月 24 日,CrowdStrike 发布 Windows 大范围蓝屏事件初步审查报告,并表示即将在公开发布的根本原因分析中详细说明全面调查结果。 根据报告,蓝屏死机是由内存安

2023-04-22

应链安全的担忧 围绕软件供应链安全的关注空前高涨。Sonatype 报告称,在过去 3 年中,软件供应链攻击的年均增长率达到了惊人的 742%。调查受访者最关心的三个问题分别是,易受攻击的应用程序组件 (32%)、访问控制不足 (30%)

2024-08-14

Phylum 研究团队发现,npm 中与 Tea 协议相关的垃圾包激增。Tea 协议是一项去中心化计划,由 Homebrew 创始人 Max Howell 发明,旨在改善开源商业模式,承诺以加密货币补偿软件开发者对开源的贡献。 但研究人员认为,npm 上的这些包